把合适的人员吸引到自己的信息安全职业关系网中并不是一件容易的事情,你需要付出很多努力,而且需要另辟蹊径。
你越是努力地为你的关系网选择合适的成员,你的关系网就能越有效地帮助你实现自己的最终目标,即实现你的信息安全职业目标。比如,吸引一个从事相同 信息安全工作的同事要比寻找一个能够促进你职业发展的CIO或者CISO容易得多。而在这篇文章中,我们将提供一些关于接近这几种人的方法。
去那些可以让自己显得独特的地方
作为一个群体,信息安全职业人员大都倾向于跟他们的同行进行沟通。这样做虽然很容易,但效果却并不好。虽然可以跟那些具有类似职位以及面临类似挑战 的同行们愉快地交流“战争故事(war stories)”,但他们并不会给你的职业关系网增加多少独到的见解。
在一开始的时候,你可以寻找那些你能够提供特殊知识的群体、组织或者社会环境,并且那里的人们也对你的独特视角感兴趣。这些听众通常有很多是高层人 士,他们急切的想了解信息安全知识。比如,如果你是一个侧重于卫生医疗方面的信息安全职业人员,那么你应该加入一个由医院管理人员、医院CFO和CIO构 成的组织。通过与这些人分享你的观点,你能够跟那些欣赏你的观点并且需要你帮助的人发展可信赖关系。如果他们需要你的知识,那么你就可以要求他们以自己的 专业知识作为回报。
非专业群体也可以提供帮助。这些群体包括慈善机构、宗教团体或者特殊利益团体等。这些外部群体里有许多处于不同的生活阶段和事业阶段的人,在很多情 况下你会发现这些人中会有人给你的职业关系网提供独特的价值,并且愿意帮助你事业的发展。
阅读全文...
几乎每个参加RSA大会的人都有这样一个目的:从展览或会议中了解未来信息安全的发展趋势,但想要完成这个目标难度却很大,面对海量信息无异于大海捞针。实际上,参展商或会议发言人大都有背后的商业利益推动,所展示的内容大都是为了推广自己的产品或理念而服务,完全公正客观的很少。更何况大家面对的用户和政策环境很不一样,只有透过现象看本质,才能得到自己想要的东西。
在美国旧金山召开的RSA 2010 Conference汇集了各界代表,其中主要是信息安全厂商及相关的科技人员、学者,相对于产品展示,主题会议更能全面、深入的反应业界声音。笔者结合对参展产品的综合统计分析,可以初步理清一些发展趋势,整理出来供大家参考。
一、安全信息与事件管理渐成气候
在此次展会上约有一半企业展示了安全管理产品和解决方案,特别是安全信息与事件管理SIEM(Security Information and Event Management)。
阅读全文...
来源:http://hi.baidu.com/tombkeeper
以下是2006年8月19日在B105技术沙龙演讲的讲稿。
2006.08.13
信息安全走向漫谈
村长邀我来B105沙龙和大家闲扯。而我近来的工作是拉磨居多,接客其次,实在没有什么新货。村长说:不必讲技术,可以谈谈“信息安全的现状和未来”。我思前想后,觉得这个题目纲领性太强,我这点资历讲起来显然自不量力。还是改称“信息安全走向漫谈 ”显得比较低调。漫谈漫谈,就是漫天乱谈,谈错了不要紧。万一谈得对,就算蒙上了。
1、学什么技术不会过时?
常有人跟我发牢骚,说搞技术太累,总要学新东西。还总问,安全技术未来的方向是什么,学什么技术不会过时,五年十年之后还能混饭?
每到这时我都很尴尬,不知道应该说什么。
有些朋友知道,我读了五年医科大学。很多人认为医生是一个稳定的职业,医学是保值的知识,学完了就可以躺在上面吃一辈子。其实恰恰相反。稍大一点的医院都有自己的图书馆。年轻医生就不用说了,很多六十多岁的老医生上门诊,抽屉里还放着一本专业书,有病人的时候就给人看病,没病人就拉开抽屉看书。以前儿科的老主任对我说过:干医生这一行,半个月不去图书馆读文献,就落后了。毛主席说“三天不学习,赶不上刘少奇。”医生这一行就是这样。
我们家乡有句俗话,叫“看别人吃豆腐觉得牙齿快”。很多技术人员都觉得销售这个活儿好干,工作就是吃喝玩乐混关系,挣钱又多,还不费脑子。我只能说 “那你去试试看吧”。先甭说销售绝对不是不费脑子的活儿,也绝对不是光靠“吃喝玩乐混关系”就行的。就算是,这“吃喝玩乐混关系”七个字岂是简单的?谁刚从台上下来满怀落寞但还有一些重要关系?谁虽然只是个普通教授但是诸多弟子都身居要职?谁手里有指标但自己不能完全做主?谁行政级别高但没有实权?新上来一把手是爱人民币爱高尔夫爱燕鲍翅还是爱制服捆绑?京城里何处灯最红何处酒最绿?——这些信息都是动态的,变化的,而且靠订阅邮件列表和看BBS是得不到的。不收集,不学习,咋整?
公交车站牌上贴的那些招聘职位,没有学历要求,只要“形象好,气质佳,思想开放”就可以“日薪1500以上”,这个钱挣起来算是容易又轻松了吧?其实即便从事这种地球上最古老的职业,学和不学那也是大大不同。苏小小、李师师的时代,要上头牌都得会琴棋书画,填词唱曲。到了十里洋场上海滩,根据才情高低也要分出“书寓”、“长三”、“幺二”来,啥都不会就只能混“野鸡堂子”。现在没那么多讲究了,不过“一剑穿心毒龙钻,冰火红绳空中飞”这些基本业务总还得学,要不然也还是“野鸡堂子”、Street-Walker的命。
那究竟有没有什么是学了不会过时的呢?学会学习的方法,学会从学习中获得快乐,这是永不过时的。如果享受不了汲取知识的快乐,那就不适合做任何需要脑力的工作。
2、信息安全的未来如何?
最近一两年,大家感觉信息安全形势比前两年要好些了,不再像2002、2003年的时候,漏洞满天飞,蠕虫遍地爬。于是有人开始担心:漏洞少了的确有利于信息安全,但这样下去,最终会不会导致我们失业?
对此我是这样看的:信息安全技术的发展将来一定会有技术方向上的变化,但不会有前途上的问题。
电影《笑傲江湖》中任我行说:“有人就有江湖 ”。从有马帮的那一天起,就有马贼;从有海船的那一天起,就有海盗。有盗贼怎么办?理论上靠官府,实际上靠自己。自己搞不定怎么办?花钱找镖局。几千年来,什么时候这个格局改变过?过去镖局保的是金银,今天我们保的,归根结底也还是金银。从这个意义上讲,我们这个行业其实是镖局发展进入信息时代后,出现前面说的“技术方向上的变化”,而化生出来的。
所以,只要人类社会还存在信息交换行为,只要这些信息交换涉及到利益,就会有人试图改变这些利益的分配规则,就会有对信息安全的需求。百川归大海,这是一个根本法则,不管中间怎么九曲十八弯,最终,这个根本法则是不会有什么变化的。
大家感觉信息安全形势比前两年要好,可能一个主要原因就是看到软硬件厂商对安全越来越重视,安全措施越来越多。而看起来,比较严重的安全漏洞似乎有减少的 趋势。互联网上几乎每台机器都有防火墙保护。新的Fedora Core默认开启了Linux的很多安全特性,而且看起来以后会一直这样下去。微软将要发布的Vista也似乎是一个强健无比的系统。这一切仿佛都在暗示信息安全会成为一个历史阶段性的事物,随着安全形势的进一步好转,这个行业也会逐渐淡去。
下面我们具体来谈谈这些问题。
Vista是个纸老虎
很多搞Windows安全的人最近都着实被微软的Vista给吓着了,觉得以后Windows就安全了,没什么可搞了。微软号称这个系统比前代大大增强了 安全性。不过大家别忘了,微软推出Windows 2000的时候是这么宣传的,推出Windows XP的时候是这么宣传的,推出Windows 2003的时候也是这么宣传的。
当然,实事求是地说,从我们最近一段时间对Vista Beta版的研究来看,这个新系统的确采取了很多新的安全特性,大大增加了传统漏洞的利用难度;新的开发过程和开发工具也的确降低了漏洞发生的几率,比起之前的产品在安全上可以说有一个大飞跃。
但关键问题是:人们真的会接受这样一个用大量确认窗口和限制措施来虐待用户的操作系统么?更别提可怕的资源占用和乌龟般的速度了。至少我是绝对不会用这个 东西的。估计在Vista正式上市后,各种Windows优化软件肯定会立即提供关闭这些安全特性的功能。
信息安全,信息为肉,安全为骨。肉无骨则不立,骨无肉则不活。蚯蚓之类,只有肉没有骨,尚可以慢慢蠕动,可以不太精彩地活下去;但是没有肉,光剩骨头,什么动物也活不了。安全措施对用户的扰动越小,就越容易被接受。时刻发挥作用,却几乎感觉不到它的存在,这就是安全工作的至善境界,也是最难达到的目标。要不然为什么杜雷斯的超薄型卖得贵还那么受欢迎。
在我看来,Vista就是个至少一厘米厚的杜雷斯。
任何企业的目标都是挣钱,只有当维护用户安全和挣钱这个目标恰好吻合时,它就会设法增强用户安全,如果维护用户安全影响了挣钱这个目标,它一定会考虑重新调整两边的砝码。
今天我在这里关起门来做个大胆的预言:Vista终将成为一个类似Windows ME那样没什么人愿意用的失败产品。微软甚至可能会在Vista后续的Service Pack或者下一代操作系统中取消或者减弱一些影响用户体验的强制安全特性。
另外,这个一厘米厚的杜雷斯是否真的就比0.03mm的超薄型安全333.33倍?值得怀疑。Windows 95只有1500万行代码,Windows 98有1800万行代码,Windows XP 有3500万行。Vista 则有5000万行,比XP多出了40%。新代码带来新功能,同样,新代码也必然会引入新漏洞。
毛主席说过,“一切反动派都是纸老虎。看起来,反动派的样子是可怕的,但是实际上并没有什么了不起的力量。
Author:
赵彦,中联绿盟信息技术(北京)有限公司
本版初稿只代表个人观点,仅供参考,对于迷信产生的后果,本人不承担任何责任
本文实际上并不能算是Career Planning,只是一些分类描述,唯一好处仅在于帮助你理解不同职位的技能要求,因为最近很忙,本文也远远达不到Body of Knowledge的详细程度,计划在空闲时再补一篇真正的Career Roadmap
[漏洞挖掘/安全技术研究员]
研究对象:OS,网络,应用,通讯媒介及协议的安全漏洞和防御方法,偏重于底层技术,对技术要求最高,但不要求很全面,只需精通一两种流行的平台即可。其研究成果经常为IDS/IPS/Vulnerability Scanner插件作分析等,最新的技术可能被转化到产品中实现商业价值,或可能承担技术最高的一部分专业安全服务。
主要技能:C\C++,ASM,OS kernel,调试器,反汇编、缓冲区溢出类,逻辑编程错误等
[安全产品开发]
和其他程序员一样,只不过是面向安全产品,有核心引擎也有界面开发,如何成为一个优秀的程序员就不用我废话了吧,网上的Proposal多的是
[产品工程师]
作为厂商的技术人员,一般是对自有产品做售后技术支持,如FW,VPN,IDS/IPS,Scanner,AV,AAAA,CF,UTM,SOC,Terminal Management,Vulnerability/Patch Management,Anti-DOS,Anti-Spam……该职位对技术要求一般,有一定的系统、网络基础,可以熟练部署产品即可,另外还有Testing和Troubleshooting的能力也是比较重要的
[技术顾问/售前工程师]
作为厂商的售前,须对自有的产品和解决方案非常熟悉,售前偏重于架构/方案设计,Presentation,Documentation以及其他Presale Engineering的能力(如投标、销售推介技能),一般需要多年工作经验,有售后或者研发背景,对特定行业的理解-如曾在电信、金融或者SI的工作经验能增强竞争力,如能对专业安全技术服务及咨询服务有所掌握,会使你的知识背景更强势,项目管理技能也是必要的。
[安全服务工程师]
个人觉得在安全工程领域,产品选型和部署相对简单,门槛较高的是专业安全服务,先不论当前行业内的安全服务技术人员实际水平如何,我只是就我的理解谈一下以下职位的技能需求。如渗透测试、安全加固、安全外包/安全监控,应急响应,高级安全技术培训,风险评估等要求技术人员对主流的操作系统平台,网络设备,数据库,企业应用有一定程度的掌握,并且需要融入对安全和攻防技术的理解,另外安全服务人员最好需要有信息安全管理和项目管理的知识。沟通表达以及文档撰写能力都是必须的。
[安全架构师]
之前的售前工程师和安全服务工程师也要写整体解决方案,但从专业程度来说,他们还达不到安全架构师的技术高度,安全架构师须熟悉IT基础设施、容灾备份,大型企业级应用,安全集成,网络设计规划,网络安全产品典型部署,熟悉各种通信标准及协议,需要了解安全趋势和客户的整体安全需求,既有深度又有广度,需要较多的经验和技术。
[信息安全咨询顾问]
信息安全既有技术也有管理的问题,如传统的Strategy、HR、IT consulting一样,Information Security Consulting也是专业服务中的主要业务,如:Risk Assessment、ISMS building、SOX Compliance……
信息安全不可能脱离企业自身的业务和实际需求,否则便成了空中楼阁,信息安全管理应该是以企业管理为上层引导,信息安全管理为中间支柱,下层以计算机及通信技术为基础依托的三层结构,当然出售的最终产物是三层融合的整体解决方案,咨询顾问一般需要以下技能:
熟悉各类安全标准--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
咨询体系--企业经营管理,流程管理,人力资源管理,信息战略,法律法规
基本技能--沟通表达、文档、项目管理
技术体系--All above(不要因为我说了这句话趋之若鹜哦)
[CHO]
这里并不是指人力资源总监,而是传说中的Chief Hacker Officer--首席黑客官,在国外某些公司设有此类职位,是更加纯技术的职位,从名字就可以看出他的技术偏向哪里,实际上应该是安全教科书中的Whitehat,从Know your enemy的角度讲,反黑的的能力也确实强
[CSO/CISO]
一般只有较大的组织机构才单独设有首席安全官或首席信息安全官,在没有独立设置CSO职位的情况下,信息安全通常属于CIO/CTO/COO考虑的范畴,实际上也由他们扮演CSO的角色,因此换个角度—信息安全管理咨询应该是in CXO’s perspective,实际上高级咨询顾问到甲方即可成为CSO
通用且有一定竞争力的认证:
CISSP,CISM,CISA,BS7799LA
可供职的厂商:
国内专业安全公司:绿盟科技、启明星辰、天融信、联想网御、安氏
国外安全公司:ISS、Mcafee、Symantec、Checkpoint、TrendMirco
各大IT公司:Microsoft、HP、IBM、Cisco、Juniper、F5、Various vendors
会计事务所:PWC、E&Y、KPMG、DTT……
咨询公司:Accenture
甲方:如电信移动、金融、各大门户、电子商务以及IT系统对内部运营起到关键作用的企业
薪酬:
职位当然是影响Salary的重要因素,除此之外,审计师/咨询顾问、安全架构师和研究员的工资较高,外企的工资一般比国内企业高,在甲方的工资不一定有乙方高,主要看所在行业、企业盈利程度和对信息安全的重视程度,但乙方高薪职位通常来说比甲方更忙碌,其实质也是用时间换工资,从行为经济学看未必很实惠。
职业发展路线
研究员-高级安全研究员
开发程序员-项目经理
产品工程师-安全服务工程师-售前技术顾问
产品工程师-安全服务工程师-安全服务项目经理
产品工程师、安全服务工程师、技术顾问有两个发展方向:
1. 偏技术方向—安全架构师
2. 偏管理方向—咨询顾问
甲方和乙方的角色切换,如果对当前的视角失去了兴趣,不妨换个角度,如果结婚了寻求安定不想出差可以去甲方
当然以上只是理论公式,现实生活中的“天花板”在哪里有机会可以自己去体验一下
知识体系结构
大体分为技术体系和管理体系吧
技术体系:
对攻防技术的理解
OS、Network、Application、Data protection and related
TCP/IP protocol suits
研究偏重底层技术,架构偏重网络
安全管理体系:
各种信息安全技术/管理标准,审计及内部控制标准
传统管理学大集合
咨询及审计
其他:
对客户业务的理解
表达沟通,文档,演讲,项目管理和销售技能
Thank Adam、Why and Yhl who did effect and improve my career objective
姓名:Chinadu
近期评论